摘要：隨著網(wǎng)絡規(guī)模的迅速擴大、網(wǎng)絡業(yè)務的不斷發(fā)展和網(wǎng)絡功能的不斷增強，IPv4協(xié)議逐漸出現(xiàn)其不適應發(fā)展的地方，尤其是地址空間的不足。IPv6正是在這樣的環(huán)境和條件下產(chǎn)生的，這篇論文論述了由IPv4過渡到IPv6的必然趨勢，IPv6的技術特點，IPV6在安全方面的改進以及它所存在的安全隱患。

關鍵詞：IPv6；技術特點；安全機制；安全隱患

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)28-0098-02

IPv6 Technology and the Analyses of Its Security Problem

YUAN Qiang， YANG Mu-qing

(South-Central University for Nationalities， Wuhan 430074， China)

Abstract: With the rapid expansion of the internet， the continuous development of the network operations and the growing function of network， IPv4 is gradually not adapting to the development of network， particularly the problem of shortage of address space. IPv6 is developed in this situation. This paper have discussed the inevitable trend of transition from IPv4 to IPv6， including the technical characteristics of IPv6， its improvement in security and also its security risks.

Key words: IPv6; technology Features; security mechanism; security hidden risk

1 引言

Internet在全球迅速發(fā)展，隨著互聯(lián)網(wǎng)用戶數(shù)量不斷增長以及對互聯(lián)網(wǎng)應用的要求不斷提高，IPv4協(xié)議的不足逐漸體現(xiàn)出來。首要的問題就是不斷增長的對互聯(lián)網(wǎng)資源的巨大需求與IPv4地址空間不足的矛盾， Ipv6通過幾乎無限大的地址空間、自動識別機制、網(wǎng)絡安全設置，對每一個終端（包括無線終端）、家電、生產(chǎn)流程、感應器等進行IP全球化管理，宣告了信息新時代的到來。

與此同時，網(wǎng)絡安全也是一個需要迫切解決的問題?，F(xiàn)行的IPv4協(xié)議標準雖有簡單性和可縮放性等特點，但在網(wǎng)絡安全方面存在許多安全隱患，例如：非法截獲并偽造信息包、地址的電子欺騙、擾亂網(wǎng)絡邏輯組織等。對于種種威脅網(wǎng)絡安全的攻擊，現(xiàn)有的一些措施往往沒有涉及協(xié)議的較低層次，而網(wǎng)絡安全功能恰恰是定位在較低層次上的，這對阻止在網(wǎng)絡攻擊中占比例非常大的較低層次攻擊是不合適的。

因此在IPv6協(xié)議下，增添了許多新的重要功能，支持IPv4到IPv6的平穩(wěn)過渡，可以像一般的軟件升級一樣在Internet設備上安裝。IPv6在IP層上實現(xiàn)了各種安全服務，既是面向高性能網(wǎng)絡（如ATM）的，也可以在低帶寬的網(wǎng)絡（如無線網(wǎng)）上有效地運行。

2 IPv6 技術特點

IPv6是為了解決IPv4所存在的一些問題和不足而提出的，同時它還在許多方面提出了改進，例如路由方面、自動配置方面。經(jīng)過一個較長的IPv4和IPv6共存的時期，IPv6最終會完全取代IPv4在互連網(wǎng)上占據(jù)統(tǒng)治地位。IPv6技術特點如下：

2.1 地址空間巨大

地址空間巨大IPv6地址空間由IPv4的32位擴大到128位，2的128次方形成了一個巨大的地址空間。采用IPV6地址后，未來的移動電話、冰箱等信息家電都可以擁有自己的IP地址。

2.2 地址層次豐富分配合理

地址層次豐富分配合理IPv6的管理機構將某一確定的TLA分配給某些骨干網(wǎng)的ISP，然后骨干網(wǎng)ISP再靈活地為各個中小ISP分配NLA，而用戶從中小ISP 獲得IP地址。

2.3 實現(xiàn)IP層網(wǎng)絡安全

實現(xiàn)IP層網(wǎng)絡安全IPv6要求強制實施因特網(wǎng)安全協(xié)議IPSec，并已將其標準化。IPSec支持驗證頭協(xié)議、封裝安全性載荷協(xié)議和密鑰交換IKE協(xié)議，這3種協(xié)議將是未來Internet的安全標準。

2.4 無狀態(tài)自動配置

無狀態(tài)自動配置IPv6通過鄰居發(fā)現(xiàn)機制能為主機自動配置接口地址和缺省路由器信息，使得從互聯(lián)網(wǎng)到最終用戶之間的連接不經(jīng)過用戶干預就能夠快速建立起來。

3 IPv6的安全機制分析

3.1 協(xié)議安全

在協(xié)議安全層面上，IPv6全面支持認證頭(AH)認證和封裝安全有效負荷(ESP)信息安全封裝擴展頭.AH認證支持hmac_md5_96!hmac_sha_1_96認證加密算法，ESP封裝支持DES_CBC!3DES_CBC以及Null等三種算法。

3.2 網(wǎng)絡安全

3.2.1 端到端的安全保證

IPv6協(xié)議對兩端主機的報文進行IPSec封裝，中間路由器實現(xiàn)對有IPSec擴展頭的IPv6報文進行透傳，從而實現(xiàn)端到端的安全。

3.2.2 對內(nèi)部網(wǎng)絡的保密

當內(nèi)部主機與因特網(wǎng)上其他主機進行通信時，為了保證內(nèi)部網(wǎng)絡的安全，可以通過配置的IPSec網(wǎng)關實現(xiàn)，因為IPSec作為IPv6的擴展報頭不能被中間路由器而只能被目的節(jié)點解析處理。

3.2.3 通過安全隧道構建安全的VPN

此處的VPN是通過IPv6的IPSec隧道實現(xiàn)的，在路由器之間建立IPSec的安全隧道，構成安全的VPN是最常用的安全網(wǎng)絡組建方式。IPSec網(wǎng)關的路由器實際上就是IPSec隧道的終點和起點，為了滿足轉發(fā)性能的要求，該路由器需要專用的加密板卡。

3.2.4 通過隧道嵌套實現(xiàn)網(wǎng)絡安全

通過隧道嵌套的方式可以獲得多重的安全保護，當配置了IPSec的主機通過安全隧道接入到配置了IPSec網(wǎng)關的路由器，并且該路由器作為外部隧道的終結點將外部隧道封裝剝除時，嵌套的內(nèi)部安全隧道就構成了對內(nèi)部網(wǎng)絡的安全隔離。

3.3 地址機制安全

IPv6采用128位的地址空間，相當于地球表面每平方米擁有6.65×1023個IP地址。一方面解決了當前地址空間枯竭的問題， 使網(wǎng)絡的發(fā)展不再受限于地址數(shù)目的不足；另一方面可容納多級的地址層級結構，使得對尋址和路由層次的設計更具有靈活性，更好地反映現(xiàn)代Internet的拓撲結構。

IPv6的接口ID固定為64位，因此用于子網(wǎng)ID的地址空間達到了64位，便于實施多級路由結構和地址集聚。IPv6 的前綴類型多樣，64位的前綴表示一個子網(wǎng)ID，小于64位的前綴要么表示一個路由，要么表示一個地址聚類。IPv6 的地址類型包括單播、多播和任播地址，取消了廣播地址。

IPv6 的地址機制帶來的安全措施包括：

3.3.1 防范網(wǎng)絡掃描與病毒、蠕蟲傳播

傳統(tǒng)的掃描和傳播方式在IPv6環(huán)境下將難以適用， 因為其地址空間太大。如果病毒或者蠕蟲還想通過掃描地址段的方式來找到有可乘之機的其他主機，就猶如大海撈針。在IPv6的世界中，對IPv6網(wǎng)絡進行類似IPv4的按照IP地址段進行網(wǎng)絡偵察是不可能了。

所以，在IPv6的世界里，病毒、互聯(lián)網(wǎng)蠕蟲的傳播將變得非常困難。但是，基于應用層的病毒和互聯(lián)網(wǎng)蠕蟲是一定會存在的，電子郵件的病毒還是會繼續(xù)傳播。

3.3.2 防范IP地址欺騙

IPv6 的地址構造為可會聚、層次化的地址結構，每一ISP可對其客戶范圍內(nèi)的IPv6地址進行集聚， 接入路由器在用戶進入時可對IP包進行源地址檢查，驗證其合法性，非法用戶將無法訪問網(wǎng)絡所提供的服務。

另外，將一個網(wǎng)絡作為中介去攻擊其他網(wǎng)絡的跳板攻擊將難以實施，因為中介網(wǎng)絡的邊界路由器不會轉發(fā)源地址不屬其范圍之內(nèi)的IPv6數(shù)據(jù)包。

3.3.3 防范外網(wǎng)入侵

IPv6 地址有一個作用范圍，在這個范圍之內(nèi)，它們是唯一的。在基于IPv6的網(wǎng)絡環(huán)境下，主機的一個網(wǎng)絡接口可配置多種IPv6地址，如鏈路本地地址、站點本地地址、單播全球地址等，這些不同地址有不同的作用域。

IPv6 路由器對IPv6地址的作用范圍是敏感的，絕不會通過沒有正確范圍的接口轉發(fā)數(shù)據(jù)包。因此，可根據(jù)主機的安全需求，為其配置相應的IPv6 地址。例如，為保障本地子網(wǎng)或本地網(wǎng)絡內(nèi)的主機的安全，可為其配置相應的鏈路本地或站點本地地址， 使其通信范圍受限于所在鏈路或站點， 從而阻斷外網(wǎng)入侵。

3.4 域名系統(tǒng)DNS安全

基于IPv6的DNS系統(tǒng)作為公共密鑰基礎設施(PKI)系統(tǒng)的基礎，有助于抵御網(wǎng)上的身份偽裝與偷竊，而采用可以提供認證和完整性安全特性的DNS安全擴展(DNS Security Extensions)協(xié)議，能進一步增強目前針對DNS新的攻擊方式的防護，例如網(wǎng)絡釣魚攻擊、DNS中毒(DNS poisoning)攻擊等，這些攻擊會控制DNS服務器，將合法網(wǎng)站的IP地址篡改為假冒、惡意網(wǎng)站的IP地址等。

4 IPv6安全方面的挑戰(zhàn)

4.1 網(wǎng)絡偵察和非法訪問

對于Ping掃描或端口掃描，由于IPv6網(wǎng)絡巨大的地址空間，使列舉法攻擊變得非常困難。其次，IPv6的新型組播地址使攻擊者會更容易發(fā)現(xiàn)網(wǎng)絡中的關鍵系統(tǒng)。如路由器、NTP servers等。如果網(wǎng)絡中的路由器或網(wǎng)關設備的安全方面考慮不足，攻擊者會利用鄰居發(fā)現(xiàn)緩沖數(shù)據(jù)，或者依靠簡單的報文截獲就可發(fā)現(xiàn)網(wǎng)絡中的主機。IPv6抵抗網(wǎng)絡偵察攻擊的手段依然是防火墻技術。

由于IP協(xié)議棧中不對主機之間的連接做任何限制，攻擊者利用IP協(xié)議與網(wǎng)絡中的主機或設備建立上層協(xié)議的連接進行非法訪問。IPv6擴展可有效防止網(wǎng)絡偵察，IPSec的全面部署會使主機的訪問控制更加容易。但仍然需要防止非法訪問。目前市場已有許多IPv6防火墻產(chǎn)品，這些產(chǎn)品只是解決了部分IPv6中的安全問題。

4.2 第三層和第四層欺騙

攻擊者修改他們的源IP地址和目的地址端口，使他們發(fā)出的報文看似發(fā)自于另一臺主機或另一個應用程序，這種欺騙攻擊依然十分流行。IPv6地址具有全球聚集屬性，IPv6對于第三層欺騙具有很好的防護作用。

對于RFC2827 過濾策略，ISP很容易判斷出那些超出他們范圍的欺騙地址。目前這種過濾還不是一種標準行為，它需要管理者去實現(xiàn)。由于IPSe的部署，第四層欺騙在IPv6不會發(fā)生變化。而IPv6擁有巨大的地址空間，即使部署RFC2827過濾策略，攻擊者也擁有大量可用的地址，這也增加了防范難度。

4.3 非IP層攻擊和路由攻擊

IPv6 網(wǎng)絡中傳輸數(shù)據(jù)包的基本機制沒有發(fā)生改變，仍然在控制平面學習路由以適應網(wǎng)絡拓撲的變化， 在數(shù)據(jù)平面根據(jù)已知的路由信息對數(shù)據(jù)包進行路由轉發(fā)。因此，在IPv4網(wǎng)絡中除IP層之外，其他六層中出現(xiàn)的攻擊在IPv6網(wǎng)絡中仍然會存在。

惡意攻擊者也可以通過偽造的 MAC 幀來欺騙數(shù)據(jù)鏈路層設備， 如交換機。還有的DNS 安全性、路由協(xié)議的安全性、SNMP 的安全性、SMTP/MIME 中的安全漏洞、病毒、木馬、蠕蟲等。均屬于這一類。這類攻擊并非IPv6特有， 它們在IPv4網(wǎng)絡中同樣存在， 因此可以借鑒IPv4網(wǎng)絡中的防護辦法和經(jīng)驗， 并將其用于IPv6網(wǎng)絡中。

而路由攻擊則可破壞或重定向網(wǎng)絡中的流量。它采用多種手段，例如利用范洪攻擊、快速宣告和撤銷路由、發(fā)布虛假路由信息等。IPv6中，有幾種協(xié)議并沒有改變它們的安全機制。BGP仍然依賴于TCP MD5認證機制。

4.4 IPv4與IPv6之間的互通

IPv4過渡到IPv6是必然趨勢， 但不可能在一夜之間完全升級過渡到 IPv6，這將經(jīng)歷一個漫長的過渡時期。期間將同時存在IPv4和IPv6兩種網(wǎng)絡， 以及各種各樣的過渡技術， 將使網(wǎng)絡結構更復雜， 存在新的安全隱患，這給網(wǎng)絡安全防護提出更嚴峻的挑戰(zhàn)。

IPv4 和IPv6的互通主要模式：雙棧、隧道和轉換。以上所提到的問題都是假設網(wǎng)絡中主機和網(wǎng)絡基礎設施都基于雙棧結構。針對于IPv6 隧道技術和防火墻，如果網(wǎng)絡設計者在設計安全策略時不考慮 IPv6 隧道，那么將有可能導致非法報文通過隧道。

4.5 IPv6自身的安全問題

IPv6 的管理與IPv4 在思路上有可借鑒之處。但對于一些網(wǎng)管技術，如SNMP等，不管是移植還是重新設計，其安全性都必須從本質上有所提高。由于目前針對IPv6的網(wǎng)管設備和網(wǎng)管軟件幾乎沒有成熟產(chǎn)品出現(xiàn)，因此缺乏對 IPv6 網(wǎng)絡進行監(jiān)測和管理的手段，缺乏對大范圍的網(wǎng)絡故障定位和性能分析的手段。沒有網(wǎng)管，無法保障網(wǎng)絡高效、安全運行。

IPv6相比IPv4，除地址空間增大外，很多協(xié)議機制也發(fā)生了變化。例如在IPv6中不再有ARP， 而采用鄰居發(fā)現(xiàn)ND 進行地址和IP 地址的解析; 在IPv6 中， 除支持有狀態(tài)地址自動配置(DHCPv6)外， 還支持無狀態(tài)地址自動配置。這些變化使得IPv6網(wǎng)絡的安全問題與IPv4 網(wǎng)絡相比有很多不同。

網(wǎng)絡安全是一個體系，涉及各個層次、各個方面。IPv6主要解決的是網(wǎng)絡層的身份認證、數(shù)據(jù)包完整性和加密問題。因此， 一些從上層發(fā)起的攻擊如應用層的緩沖區(qū)溢出攻擊和傳輸層的TCPSYN FLOOD攻擊等在IPv6下仍然存在。此外， IPSEC的引入在強化網(wǎng)絡層安全的同時對目前的網(wǎng)絡安全體系和保護機制帶來了沖擊， 這些都需要在今后的研究中加以改進和完善。

5 結束語

IPv4地址耗盡并不是部署和升級到IPv6的唯一理由， IPv6協(xié)議可滿足下一個世紀的高性能、可擴展性的網(wǎng)絡互聯(lián)， 并可解決IPv4協(xié)議中存在的許多問題。新技術支持新應用， 新應用推動新技術的標準化和商業(yè)化，機遇同時也是挑戰(zhàn)，隨著IPv6網(wǎng)絡建設的逐步展開，關于IPv6 網(wǎng)絡的安全性方面也得到了越來越多的重視。IPv6的新的特性與協(xié)議機制，使傳統(tǒng)網(wǎng)絡上的攻擊與防護在 IPv6網(wǎng)絡中遇到了新的問題與挑戰(zhàn)。

參考文獻：

[1] 竇文華， 張鶴穎， 鄭彥興，等. 計算機網(wǎng)絡前沿技術[M]. 國防科技大學出版社. 2007.

[2] 張宏科. IPv6 互聯(lián)網(wǎng)絡技術的現(xiàn)狀與未來[J]. 中國數(shù)據(jù)通信， 2005(4):17-20.

[3] 陳琦. IPv6網(wǎng)絡技術發(fā)展現(xiàn)狀與策略[J]. 通信世界， 2006(9):34-35.

[4] 劉年生， 郭東輝， 吳伯僖. IPv6安全機制及其密碼算法的安全性分析[J]. 計算機工程與應用， 2006，37(16):30-33.

[5] 郎為民.下一代網(wǎng)絡技術原理與應用[M]. 北京:機械工業(yè)出版社，2006.